GLOBALE DATENSCHUTZRICHTLINIEN FÜR DIE GRENZÜBERSCHREITENDE DATENÜBERMITTLUNG

Bei Merck & Co., Inc. (Kenilworth, NJ, USA), außerhalb der USA und Kanadas unter der Bezeichnung MSD bekannt, erstreckt sich unsere Mission, Leben zu retten und zu verbessern, auch auf die Wahrung der Privatsphäre und den Schutz personenbezogener Informationen.

Wir sind stets bestrebt, unsere Geschäftstätigkeit in Einklang mit unseren Datenschutzwerten auszuüben, da wir der festen Überzeugung sind, dass diese Werte unsere unbeirrbare Verpflichtung zu ethischen und verantwortungsvollen Geschäftspraktiken demonstrieren. Wir sind uns bewusst, dass Innovation und neue Technologien fortlaufend Veränderungen hinsichtlich der Risiken, Erwartungen und Gesetze forcieren. Daher folgen wir den Standards in Bezug auf unternehmerische Verantwortung für den Datenschutz und bemühen uns, bei deren Umsetzung prompt auf alle Veränderungen zu reagieren und unser Verhalten entsprechend anzupassen.

Diese Richtlinie legt unsere globalen Standards für den Umgang mit und den Schutz von personenbezogenen Informationen durch unser Unternehmen oder in dessen Namen fest, die direkt oder indirekt aus einem Land des Europäischen Wirtschaftsraums („EWR“, European Economic Area, „EEA“), der Schweiz oder aus den Mitgliedsländern der Asiatisch-Pazifischen Wirtschaftsgemeinschaft (Asia Pacific Economic Cooperation, „APEC“) stammen und in ein beliebiges anderes Land übermittelt werden, einschließlich Übermittlungen zwischen dem EWR und der APEC. Sie beschreibt unser Kernengagement zur Unterstützung unserer APEC-Zertifizierung (Cross-Border Privacy Rules Certification; Bestimmungen für die grenzübeschreitende Datenübermittlung), unserer BcR-Bestimmungen (Binding Corporate Rules), die in der Europäischen Union genehmigt wurden, sowie unserer Selbstzertifizierung zum EU-U.S. Privacy Shield. Sie gilt für unsere Betriebe in allen Ländern, für alle Aktivitäten unter Einbeziehung personenbezogener Informationen, die wir in allen Niederlassungen und in allen Geschäftsbereichen (auch inklusive aller Geschäftsnachfolger) durchführen, insbesondere Forschung, Produktion, kommerzielle Tätigkeiten, Aktivitäten im Rahmen vonUnterstützungsprogrammen und gesundheitsbezogene Services und Lösungen und die notwendigen Datenübermittlungen zur Ausführung dieser Aktivitäten, darunter insbesondere:

  • Forschung und Produktion: Beurteilung von Bedarf und Chancen für medizinische und gesundheitsbezogene Innovation; Einleitung, Management und Finanzierung von Forschungsstudien; Beurteilung und Beauftragung von Wissenschaftlern, Mitgliedern von Wissenschafts- und Ethikkomitees und Geschäftspartnern für die Durchführung unserer Forschungsstudien und die Entwicklung unserer Produkte; Rekrutierung für Forschungsstudien; Untersuchung der Sicherheit, Wirksamkeit und Qualität unserer Prüfprodukte und auf dem Markt befindlichen Produkte; Einhaltung unserer Pflichten bei Produktsicherheit und Produktqualität, einschließlich Umgang mit und Melden von unerwünschten Ereignissen und Produktreklamationen; Einreichen von Anträgen für die Zulassung unserer Produkte bei Aufsichts- bzw. Zulassungsbehörden sowie Einhaltung aller geltenden gesetzlichen, behördlichen und ethischen Anforderungen;
  • Kommerzielle Tätigkeiten: Beurteilung der Märkte in Bezug auf unsere Produkte; Verkaufsförderung, Marketing, Verkauf, Vertrieb und Lieferung unserer Produkte; Kommunikation und Interaktionen mit Kunden aus dem medizinischen Fachbereich, Kostenträgern im Gesundheitswesen, Patienten und anderen Endnutzern unserer Produkte sowie mit Betreuern von Personen, die unsere Produkte anwenden; Sponsoring und Durchführung von Veranstaltungen; Bewertung und Beauftragung von Geschäftspartnern zur Unterstützung unserer kommerziellen Aktivitäten sowie Einhaltung aller geltenden gesetzlichen, behördlichen und ethischen Anforderungen;
  • Unterstützungsprogramme: mitarbeiterbezogene Rekrutierung, Einstellung, Management, Entwicklung, Kommunikation und Vergütung; Zuteilung von Leistungen für Mitarbeiter und deren Angehörige; Durchführung von mitarbeiterspezifischen Leistungs- und Talentprüfungen; Bereitstellung von Schulungen und sonstigen Fortbildungs- und Entwicklungsprogrammen; Durchführung mitarbeiterbezogener Disziplinar- und Beschwerdeverfahren; Bearbeitung von Ethik- und Datenschutzanliegen und Durchführung von Untersuchungen; Management und Sicherung unserer physischen und virtuellen Aktiva und Infrastruktur; Einkauf und Bezahlung von Waren und Leistungen; Erfüllung unserer Pflichten bezüglich Umwelt, Gesundheit und Sicherheit und sonstiger Pflichten im Rahmen der unternehmerischen Selbstverantwortung; Umgang mit den Medien und Einhaltung aller geltenden gesetzlichen, behördlichen und ethischen Anforderungen.
  • Gesundheitsbezogene Leistungen und Lösungen: Verbesserungen bei der Versorgung von Patienten weltweit durch evidenzbasierte Leistungen und Lösungen, die sich auf klinische Services, Engagement Solutions und Gesundheitsanalytik fokussieren.

Die Richtlinie gilt ebenfalls für alle Personen, über die wir Informationen verarbeiten, einschließlich, aber nicht darauf beschränkt, unsere Kunden aus dem Gesundheitswesen und sonstige Kunden; potenzielle, bestehende und frühere Mitarbeiter und ihre Angehörigen, Patienten, Betreuer, Wissenschaftler und Studienteilnehmer, Mitglieder von Wissenschafts- und Ethikkomitees, Geschäftspartner, Investoren und Aktionäre, Regierungs- und Verwaltungsangehörige und sonstige Stakeholder.

Für alle Mitarbeiter und leitenden Führungskräfte des Unternehmens gelten zentrale Datenschutzverpflichtungen, die unbedingt einzuhalten sind.

Wir sind uns bewusst, dass unabsichtliche Fehler und Falscheinschätzungen beim Schutz personenbezogener Daten zu Datenschutzrisiken für Personen führen sowie unsere Reputation, Betriebstätigkeit, Finanzen und Compliance gefährden können. Wir bieten allen Beschäftigten und anderen Mitarbeitern, die ständigen oder regelmäßigen Zugang zu personenbezogenen Daten haben, die in die Datenerfassung einbezogen sind oder bei der Entwicklung von Arbeitsmitteln zur Verarbeitung von personenbezogenen Daten eingesetzt sind, entsprechende Schulungen zu dieser Richtlinie. Alle Mitarbeiter unseres Unternehmens und andere, die für unser Unternehmen personenbezogene Informationen verarbeiten, müssen ihre Verpflichtungen gemäß der vorliegenden Richtlinie und geltender Gesetze kennen, verstehen und sie einhalten.

Unsere Datenschutzwerte und -standards

Unsere Datenschutzwerte sind die Grundlage all unserer Aktivitäten unter Beteiligung personenbezogener Daten und maßgeblich für die Anwendung unserer Datenschutzstandards. Unsere vier Datenschutzwerte sind:

Respekt

Vertrauen

Vermeidung von Schäden

Einhaltung von Rechtsvorschriften

Wir sind uns bewusst, dass es bei Bedenken hinsichtlich des Datenschutzes häufig im Wesentlichen darum geht, wer wir sind, wie wir die Welt betrachten und wie wir uns selbst definieren. Daher sind wir bestrebt, die Blickwinkel und Interessen von Personen und Gemeinschaften zu respektieren und bei der Anwendung und Weitergabe ihrer personenbezogenen Informationen auf angemessene und transparente Weise vorzugehen.

Wir wissen, dass Vertrauen von entscheidender Bedeutung für unseren Erfolg ist. Daher wollen wir mit Blick auf die Wahrung der Privatsphäre und den Schutz personenbezogener Daten das Vertrauen unserer Kunden, Mitarbeiter, Patienten und anderer Stakeholder ausbauen und sichern.

Wir sind uns bewusst, dass der Missbrauch personenbezogener Informationen sowohl zu materiellen als auch zu immateriellen Schäden für Personen führen kann. Daher tun wir alles, um physische, finanzielle, reputationsbezogene und andere Arten von Schäden für Personen zu vermeiden, die aufgrund von Datenschutzproblemen entstehen könnten.

Wir wissen, dass Gesetze und Vorschriften nicht immer mit den rasanten technologischen Veränderungen, Datenströmen und den einhergehenden Verlagerungen von Datenschutzrisiken und den damit verbundenen Erwartungen Schritt halten können. Aus diesem Grund tun wir alles, um die Gesetze zum Schutz der Privatsphäre und persönlicher Daten sowohl dem Sinn als auch dem Wortlaut nach einzuhalten und hierbei so vorzugehen, dass eine konsistente und effiziente Betriebstätigkeit unserer globalen Geschäftsniederlassungen gefördert wird.

  1. Wir verankern unsere Datenschutzstandards in allen Aktivitäten, Prozessen, Technologien und Beziehungen mit Dritten, die personenbezogene Informationen verwenden. Wir integrieren Datenschutzkontrollen in unsere Prozesse und Technologien, die in Einklang mit unseren Datenschutzwerten und -standards und geltenden Gesetzen stehen. Unsere nachstehend aufgeführten acht Datenschutzprinzipien geben eine Zusammenfassung unserer hohen Datenschutzstandards und der zentralen Anforderungen für Prozesse, Aktivitäten und deren jeweiligen unterstützenden Technologien wieder.

    Datenschutzprinzipien

    Unsere zentralen Verpflichtungen

    1. Notwendigkeit – Vorder Erfassung, Verwendung oder Weitergabe personenbezogener Informationen definieren und dokumentieren wir die konkreten und rechtmäßigen Geschäftszwecke, für die diese Informationen benötigt werden.

    • Wir ermitteln und dokumentieren, wie lange personenbezogene Informationen für die jeweils definierten Geschäftszwecke und für anwendbare gesetzliche Bestimmungen benötigt werden.
    • Wir ermitteln und dokumentieren, wie lange personenbezogene Informationen für die jeweils definierten Geschäftszwecke und für anwendbare gesetzliche Bestimmungen benötigt werden.
    • Wir anonymisieren die Daten, wenn die Geschäftsanforderungen eine Speicherung der jeweiligen Informationen bezüglich der Aktivität oder des Prozesses über einen längeren Zeitraum hinweg bedingen.
    • Wir stellen sicher, dass diese Notwendigkeitsanforderungen in sämtliche unterstützenden Technologien integriert und Dritten mitgeteilt werden, die die Aktivität oder den Prozess unterstützen.

    2. Fairness – Wir verarbeiten personenbezogene Informationen auf keinerlei Weise, die gegenüber den Personen, auf die sich diese Daten beziehen, unfair ist.

    • Wir ermitteln, ob die beabsichtigte Erfassung, Verwendung oder sonstige Verarbeitung personenbezogener Informationen das voraussichtliche bzw. ernste Risiko eines materiellen oder immateriellen Schadens für Personen gemäß unseres Datenschutzwertes darstellt, Schäden zu vermeiden.
    • Falls das Wesen der Daten, die Arten von Personen oder die Aktivität das voraussichtliche bzw. ernste Risiko eines materiellen oder immateriellen Schadens für Personen darstellt, stellen wir sicher, dass das Risiko des Schadens durch einen entsprechenden Nutzen für die betroffenen Personen oder für unsere Mission, Leben zu retten und zu verbessern, aufgewogen wird, sowie durch Maßnahmen, Sicherheitsmaßnahmen und Verfahren abgeschwächt werden, die wir eingerichtet haben.
    • Sofern das Risiko den Anschein erweckt, den Nutzen für Personen aufzuwiegen, verarbeiten wir die sensiblen oder personenbezogenen Informationen nur mit deren ausdrücklicher Zustimmung oder soweit dies gemäß geltendem Gesetz ausdrücklich erforderlich oder ausdrücklich zulässig ist, oder von einer zuständigen Regulierungsbehörde ausdrücklich genehmigt wurde.
    • Wir dokumentieren die Risikoanalyse und integrieren alle erforderlichen Mechanismen zur Einholung und Dokumentation des Nachweises dieser Zustimmung in die unterstützenden Technologien.

    3. Transparenz – Wir verarbeiten personenbezogene Informationen auf keinerlei Weise und für keinerlei Zwecke, die nicht transparent sind.

    • Alle Personen, deren personenbezogene Informationen gemäß dieser Richtlinie verarbeitet werden, haben das Recht, eine Kopie dieser Richtlinie zu erhalten. Kopien der Richtlinie sind online unter https://msdprivacy.com verfügbar. Das MSD Global Privacy Office stellt auf Anfrage elektronische Versionen und/oder Kopien dieser Richtlinie in Papierform zur Verfügung. Die Anfragen sind an die in Abschnitt 3a. unten aufgeführten Anschriften zu richten.
    • Bei der direkten Erfassung personenbezogener Informationen von Personen informieren wir diese vor der Erfassung der Informationen und durch einen eindeutigen, klar erkennbaren und leicht zugänglichen Datenschutzhinweis oder vergleichbare Methoden (1) über die für die Verarbeitung zuständige/n Unternehmenseinheit oder -einheiten, (2) über die Kontaktdaten unseres leitenden Datenschutzbeauftragten bzw. des regionalen/örtlichen Datenschutzbeauftragten, (3) über die Art der erfassten Informationen, (4) über den Verwendungszweck, (5) über die rechtliche Grundlage für unsere Verarbeitung, (6) an wen die Informationen weitergegeben werden, einschließlich aller Anforderungen zur Offenlegung personenbezogener Daten als Antwort auf rechtmäßige Anfragen durch Behörden, (7) ob und auf welche Weise wir die personenbezogenen Daten in andere Länder, einschließlich relevanter Länder, wo dies zulässig ist, übermitteln, (8) wie lange wir sie speichern oder die Kriterien, nach denen wir dies festlegen, (9) wie Betroffene eine Frage stellen, ein Anliegen vorbringen oder ihre Rechte hinsichtlich ihrer personenbezogenen Daten wahrnehmen können, (10) wie sie jedwede Einwilligung, die sie gegeben haben, widerrufen können, (11) über ihr Recht, eine Beschwerde bei der zuständigen Behörde einzureichen, (12) über jedwede Verpflichtung zur Bereitstellung personenbezogener Daten und die Folgen einer Unterlassung dessen, (13) über jedwede automatisierte Entscheidungsfindung, einschließlich Profiling, die wir ausführen und (14) einen Link zu dieser Richtlinie, sofern möglich und angemessen. Die umfangreichen Datenschutzhinweise für viele unserer Stakeholder sind online unter https://msdprivacy.com verfügbar.
    • Bei der Erfassung personenbezogener Informationen durch Beobachtung, Sensoren oder sonstige indirekte Mittel ist es unter Umständen nicht möglich, den betroffenen Personen zum Zeitpunkt der Informationserfassung direkt einen Datenschutzhinweis zur Verfügung zu stellen. In diesen Fällen gewährleisten wir die Transparenz für die Person auf andere Weise, wie etwa durch Posts oder Aufdrucke auf dem Produkt oder in den Materialien zum Produkt, die die entsprechenden Informationen enthalten.
    • Bei der Erfassung personenbezogener Informationen über eine Website, mobile App oder sonstige Online-Anwendung oder -Ressource wenden wir die in unserer Internet-Datenschutzrichtlinie und unserer Cookie-Datenschutzerklärung dargelegten technologiespezifischen Standards an, um sicherzustellen, dass die Anforderungen in puncto Transparenz nach Maßgabe dieser Richtlinie erfüllt werden.
    • Bei der Erfassung personenbezogener Informationen aus anderen Quellen und nicht auf konkrete Anweisung unseres Unternehmens überprüfen wir vor der Informationserfassung schriftlich, dass der Informationsanbieter die betroffenen Personen darüber in Kenntnis gesetzt hat, wie und für welche Zwecke unser Unternehmen die Informationen zu verarbeiten plant. Falls vom Informationsanbieter keine schriftliche Verifizierung eingeholt werden kann, verwenden wir ausschließlich anonymisierte Informationen oder informieren vor der Verwendung personenbezogener Informationen die betroffenen Personen mittels Datenschutzhinweis oder vergleichbare Methoden (1) über die für die Informationsverarbeitung zuständige/n Unternehmenseinheit oder -einheiten, (2) über die Kontaktdaten unseres leitenden Datenschutzbeauftragten bzw. des regionalen/örtlichen Datenschutzbeauftragten, (3) welche Informationen unser Unternehmen zu verarbeiten beabsichtigt, (4) über die Zwecke der Informationsverwendung durch unser Unternehmen, (5) über die rechtliche Grundlage für unsere Verarbeitung, (6) an wen die Informationen von uns weitergegeben werden, (7) ob und auf welche Weise wir die personenbezogenen Daten in andere Länder, einschließlich relevanter Länder, wo dies zulässig ist, übermitteln, (8) wie lange unser Unternehmen beabsichtigt, sie zu speichern oder die Kriterien, nach denen wir dies festlegen, (9) wie Betroffene eine Frage stellen, ein Anliegen vorbringen oder ihre Rechte hinsichtlich ihrer personenbezogenen Daten wahrnehmen können, (10) wie sie jedwede Einwilligung, die sie gegeben haben, widerrufen können, (11) über ihr Recht, eine Beschwerde bei der zuständigen Behörde einzureichen, (12) über jedwede Verpflichtung zur Bereitstellung personenbezogener Daten und die Folgen einer Unterlassung dessen, (13) über jedwede automatisierte Entscheidungsfindung, einschließlich Profiling, die wir ausführen und (14) einen Link zu dieser Richtlinie, sofern möglich und angemessen.
    • Wir stellen sicher, dass die notwendigen Transparenzmechanismen, einschließlich (sofern möglich) Mechanismen, die individuelle Anfragen hinsichtlich bestehender Rechte ermöglichen, in die unterstützenden Technologien integriert sind und dass Dritte, die die Aktivität oder den Prozess unterstützen, die personenbezogenen Informationen nicht auf eine Weise verwenden, die in Widerspruch stehen zu den Angaben, die den betroffenen Personen in einem Datenschutzhinweis oder durch andere verifizierbare Methoden hinsichtlich der durch uns und andere geplanten Verwendungszwecke bereits mitgeteilt wurden.

    4. Zweckbeschränkung – Wir verwenden personenbezogene Informationen ausschließlich nach Maßgabe der Grundsätze von Notwendigkeit und Transparenz.

    • Wenn neue legitime Geschäftszwecke für personenbezogene Informationen erkannt werden, die zuvor erfasst worden sind, holen wir entweder die Einwilligung für die neue Verwendung der personenbezogenen Daten ein, oder wir stellen sicher, dass der neue Geschäftszweck mit bereits in einem der betroffenen Person mitgeteilten Datenschutzhinweis oder anderem Transparenzmechanismus dargelegten Geschäftszwecken kompatibel ist. Wir bestimmen die Kompatibilität basierend auf (1) jedweder Verbindung zwischen dem ursprünglichen Zweck und dem vorgeschlagenen neuen Zweck, (2) den berechtigten Erwartungen der Einzelperson, (3) der Art der personenbezogenen Daten, (4) den Folgen der Weiterverarbeitung für die Einzelperson und (5) den von uns vorgesehenen Sicherheitsmaßnahmen.
    • Wir wenden dieses Prinzip nicht an bei anonymisierten Informationen oder wenn wir die personenbezogenen Informationen ausschließlich für historische oder wissenschaftliche Forschungszwecke verwenden und (1) ein Ethikkomitee oder eine andere zuständige Prüfinstanz festgestellt hat, dass das Risiko einer derartigen Verwendung für den Datenschutz und andere Rechte von Personen akzeptabel ist, (2) wir angemessene Sicherheitsmaßnahmen, wie z. B. Pseudonymisierung, vorgesehen haben, um Datensparsamkeit sicherzustellen sowie (3) alle anderen anwendbaren Gesetze eingehalten werden.
    • Wir stellen sicher, dass Einschränkungen der Zweckbeschränkung in alle unterstützenden Technologien – einschließlich Berichtsmöglichkeiten und nachgeschaltete Datenweitergabe – integriert werden.

    5. Datenqualität – Wir speichern personenbezogene Informationen korrekt, vollständig und aktuell sowie in Einklang mit der beabsichtigten Verwendung.

    • Wir stellen sicher, dass Mechanismen zur regelmäßigen Datenprüfung in unterstützende Technologien integriert werden, um auf diese Weise die Korrektheit der Daten im Vergleich zur Datenquelle und den nachgeschalteten Systemen validieren zu können.
    • Wir stellen die Korrektheit und Aktualität sensibler Informationen vor Verwendung, Auswertung, Analyse, Melden oder sonstigen Verwendungsmöglichkeiten sicher, falls durch Verwendung falscher oder überholter Daten das Risiko mangelnder Fairness für die betroffenen Personen bestehen würde.
    • Wenn von unserem Unternehmen oder von Dritten, die für unser Unternehmen tätig sind, die personenbezogenen Informationen geändert werden, stellen wir sicher, dass diese Änderungen den Einzelpersonen zeitgerecht mitgeteilt werden, sofern dies möglich ist.

    6. Sicherheit – Wir etablieren Sicherheitsmaßnahmen zum Schutz personenbezogener und sensibler Informationen vor Verlust, Missbrauch und unautorisiertem Zugriff sowie vor unautorisierter Veröffentlichung, Veränderung und Vernichtung.

    • Wir haben ein umfangreichendes Programm zur Informationssicherheit aufgesetzt und wenden Sicherheitskontrollen an, die sich nach der Sensibilität der Informationen und der Risikostufe der Aktivität richten und berücksichtigen hierbei die besten Vorgehensweisen auf Basis aktueller Technologien und die Kosten der Implementierung. Unsere funktionalen Sicherheitsrichtlinien umfassen insbesondere Standards zu Geschäftskontinuität und Notfallwiederherstellung, Verschlüsselung, Identitäts- und Zugriffsmanagement, Informationsklassifizierung, Management von Vorfällen in Bezug auf die Informationssicherheit, Kontrolle des Netzwerkzugangs, physische Sicherheit und Risikomanagement.

    7. Datentransfer – Wir sind verantwortlich für und beachten die Datenschutzbestimmungen hinsichtlich personenbezogener Informationen, wenn diese an andere oder von anderen Unternehmen oder grenzüberschreitend übermittelt werden.

    (1) Wir übermitteln personenbezogene Informationen innerhalb unseres Unternehmens, wenn folgende Anforderungen erfüllt sind:

    (1) Die gemeinsame Nutzung ist notwendig, um den Zweck zu erfüllen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, oder um ein anderes berechtigtes Interesse des Unternehmens zu erfüllen und (2) der Zweck, für den sie gemeinsam genutzt werden sollen, sowie die Tatsache, dass sie gemeinsam genutzt werden, im Einklang mit der Datenschutzrichtlinie oder einem anderen Transparenzverfahren stehen, die der Einzelperson vorab zu dem Zeitpunkt der ursprünglichen Erfassung der personenbezogenen Daten zur Verfügung gestellt wurden und zu denen die Einzelperson ihre Einwilligung soweit erforderlich erklärte, (3) wo eine unserer Tochtergesellschaften ausschließlich im Namen einer anderen unserer Tochtergesellschaften bei der Verarbeitung von personenbezogenen Daten fungiert, und (4) sofern gesetzlich vorgeschrieben, diese Tochtergesellschaften des Unternehmens eine interne Datenverarbeitungsvereinbarung gemäß Prinzip 8 dieser Richtlinie ausführen.

    (2) Wir übermitteln personenbezogene Informationen an Dritte oder gestatten deren Verabeitung nur dann, wenn folgende Anforderungen erfüllt sind und wir sind verantwortlich sicherzustellen, dass von uns beauftragte Dritte diese Anforderungen erfüllen:

    • Wenn die Funktion des Dritten darin besteht, die personenbezogenen Informationen für unser Unternehmen oder in dessen Namen zu verarbeiten, so führen wir vor der Bereitstellung der personenbezogenen Informationen an den Dritten oder vor dessen Beauftragung (1) eine vollständige datenschutzspezifische Due-Diligence-Prüfung zur Beurteilung der Datenschutzpraktiken und der mit den Dritten verbundenen Risiken durch, (2) holen vertragliche Zusicherungen von den Dritten dahingehend ein, dass sie die personenbezogenen Informationen ausschließlich nach den Anweisungen unseres Unternehmens und in Einklang mit dieser Richtlinie verarbeiten, insbesondere mit allen acht in dieser Richtlinie dargelegten Datenschutzprinzipien und anderen Standards sowie allen geltenden Gesetze, und dass sie unser Unternehmen unverzüglich von jedem Datenschutz- oder Sicherheitsvorfall, einschließlich der Unfähigkeit, die in dieser Richtlinie festgelegten Standards sowie anwendbare Gesetze einzuhalten, in Kenntnis setzen und bei der unverzüglichen Behebung von belegten Vorfällen sowie bei der Thematisierung der in Abschnitt 2 festgelegten persönlichen Rechte kooperieren, dass sie ohne unsere schriftliche Genehmigung und ohne eine Vereinbarung, die gleichwertige Datenschutzverpflichtungen auferlegt, kein anderes Unternehmen zur Verarbeitung von personenbezogenen Informationen verpflichten, dass sie alle personenbezogenen Informationen löschen oder auf unser Verlangen hin an uns zurückgeben, nachdem sie die Erbringung der Dienstleistungen für uns abgeschlossen haben, und es uns gestatten, ihre Vorgehensweise während ihrer Datenverarbeitung zu überprüfen und zu kontrollieren, um die Einhaltung dieser Anforderungen sicherzustellen. Wenn der Dritte personenbezogene Informationen verarbeitet, die aus einem anderen Land oder Gebiet stammen, in dem die Übermittlung personenbezogener Informationen eingeschränkt ist, stellen wir darüber hinaus sicher, dass der Transfer an den Dritten die Anforderungen für die grenzüberschreitende Datenübermittlung erfüllt, wie in Punkt (3) unten dargelegt.
    • Wenn die Funktion des Dritten darin besteht, unserem Unternehmen personenbezogene Informationen bereitzustellen, so stellen wir vor dem Erhalt personenbezogener Informationen von diesem Dritten sicher, dass die Transparenzanforderungen hinsichtlich personenbezogener Informationen, die aus anderen Quellen und nicht auf konkrete Anweisung unseres Unternehmens erfasst werden, erfüllt sind, und holen von dem Dritten vertragliche Zusicherungen ein, dass er durch die Bereitstellung personenbezogener Informationen an uns nicht gegen Gesetze oder Rechte sonstiger Dritter verstößt.
    • Wenn die Funktion des Dritten darin besteht, Informationen von unserem Unternehmen zur Bearbeitung zu erhalten, die nicht konkret auf Anweisung unseres Unternehmens erfolgt, so stellen wir vor der Bereitstellung der Informationen an diesen Dritten sicher, dass die Informationen anonymisiert wurden und holen von dem Dritten die schriftliche Zusicherung ein, dass er diese ausschließlich für die vertraglich festgelegten Geschäftszwecke sowie nach Maßgabe geltender Gesetze verwendet und dass er keinesfalls versucht, die Anonymisierung der Informationen rückgängig zu machen.
    • Wenn die Weitergabe an Dritte erforderlich ist, um die berechtigten Interessen oder Interessen der Einzelperson oder des Unternehmens zu schützen, können wir die Informationen weitergeben: (1) für die Zwecke der Verhinderung von Betrug oder zur Durchsetzung oder zum Schutz der Rechte und des Eigentums des Unternehmens, (2) für den Schutz der persönlichen Sicherheit unserer Beschäftigten oder Dritter auf unserem Grundeigentum, und (3) zum Schutz unserer Vermögenswerte durch die Ergreifung korrigierender Sicherheitsmaßnahmen, wenn wir auf angemessene Weise vermuten, dass eine rechtswidrige Handlung oder eine schwere Verfehlung stattgefunden hat.
    • Wenn der Dritte ein mögliches Ziel einer Akquisition oder Mehrheitsbeteiligung durch unser Unternehmen ist, so führen wir (1) vor Abschluss einer Vereinbarung zur Akquisition oder Mehrheitsbeteiligung mit dem Dritten eine vollständige datenschutzspezifische Due-Diligence-Prüfung zur Ermittlung der Datenschutzpraktiken und der mit einer Akquisition des oder einer Mehrheitsbeteiligung an dem Dritten verbundenen Risiken durch und (2) schließen eine Vereinbarung zur Datenübermittlung, in der die Konditionen, nach denen personenbezogene Informationen offengelegt werden dürfen, sowie die jeweiligen Pflichten unseres Unternehmens und des Dritten genau festgelegt sind.
    • Wenn die Funktion des Dritten darin besteht, Geschäftsanteile unseres Unternehmens ganz oder teilweise zu übernehmen, so schließen wir vor der Weitergabe jedweder personenbezogener Informationen in Zusammenhang mit einer vollständigen oder teilweisen Veräußerung unseres Unternehmens (1) eine Vereinbarung über die Datenübermittlung, in der die Konditionen, nach denen personenbezogene Informationen dem Käufer offengelegt werden dürfen, genau festgelegt sind, einschließlich der entsprechenden Beschränkungen gemäß der zugelassenen Verwendung personenbezogener Daten und Konformität mit dem Standard gemäß dieser Richtlinie und des anwendbaren Gesetzes, (2) wir überprüfen vor der Weitergabe alle personenbezogenen Datenelemente, um die Anforderungen hinsichtlich einer Weitergabe beurteilen zu können, (3) holen die Zustimmung zur Weitergabe personenbezogener oder sensibler Informationen gemäß den Grundsätzen der Transparenz und Zweckbeschränkung dieser Richtlinie ein, und (4) verlangen von Dritten, unser Unternehmen unverzüglich über einen entsprechenden Datenschutzvorfall gemäß dieser Richtlinie zu informieren, u. a. über jegliche Unfähigkeit, die Standards dieser Richtlinie und der anwendbaren Gesetze zu erfüllen, sowie zur unverzüglichen Behebung belegter Vorfälle zu kooperieren bzw. die Verarbeitung entsprechender personenbezogener Daten einzustellen

    (3) Bei grenzüberschreitender Übermittlung – einschließlich in die Vereinigten Staaten von Amerika – personenbezogener Informationen durch unser Unternehmen oder in dessen Namen befolgen wir diese Richtlinie. Wir wenden diese Richtlinie auch bei der Übermittlung personenbezogener Informationen aus einem anderen Land oder Territorium an, in dem die Übermittlung personenbezogener Informationen gesetzlich eingeschränkt ist. Darüber hinaus erfüllen wir alle Anforderungen, die durch solche Gesetze auferlegt werden (einschließlich der Verwendung von für grenzüberschreitende Datenübermittlungen erforderlichen Verfahren).

    8. Gesetzlich zulässig – Wir verarbeiten personenbezogene Informationen nur, wenn die Anforderungen geltender Gesetze erfüllt werden.

    • Wenngleich die anderen sieben Datenschutzprinzipien sowie die unten aufgeführten Anforderungen hinsichtlich individueller Rechte darauf abzielen, dass die Vorgaben der allermeisten Gesetze zur Wahrung der Privatsphäre und zum Datenschutz mit Relevanz für unser Unternehmen weltweit eingehalten werden können, müssen wir dennoch in bestimmten Ländern zusätzliche Anforderungen erfüllen, darunter insbesondere:

      1) Sofern erforderlich, holen wir die konkrete Zustimmung für bestimmte Verarbeitungen personenbezogener Informationen ein, darunter insbesondere die Zustimmung zur Verarbeitung durch Betriebsräte und sonstige Mitarbeiter- oder Gewerkschaftsvertretungen.

      2) Sofern erforderlich, melden wir die Verarbeitung personenbezogener Informationen bei den für die Wahrung der Privatsphäre und für Datenschutz zuständigen Behörden oder beantragen deren Genehmigung.

      3) Sofern erforderlich, gewähren wir umfassendere Rechte (z B. bezüglich Zugang und Korrektur) als in dieser Richtlinie dargelegt.

      4) Sofern erforderlich, schränken wir die Speicherdauer für personenbezogene Informationen weiter ein.

      5) Sofern erforderlich, schließen wir Vereinbarungen, die spezielle Klauseln enthalten, einschließlich Vereinbarungen zur grenzüberschreitenden Datenübermittlung an Dritte.

      6) Sofern erforderlich, legen wir als Reaktion auf gesetzmäßige Anfragen von öffentlichen Behörden personenbezogene Informationen offen, unter anderem zum Zwecke der Befolgung nationaler Sicherheitsanforderungen oder Anforderungen in Verbindung mit der Strafverfolgung.

      Bei Unstimmigkeiten zwischen dieser Richtlinie und geltendem Gesetz, hat die Bestimmung mit dem größeren personenbezogenen Schutzumfang Vorrang.

  2. Individuelle Anfragen hinsichtlich der Rechte auf Zugriff, Änderung, Korrektur oder Löschung personenbezogener Informationen, Widersprüche gegen die Verarbeitung personenbezogener Informationen oder Ausübung anderer Rechte hinsichtlich der personenbezogenen Informationen werden von uns unverzüglich bearbeitet.
    1. Zugriff, Korrektur, Löschung und andere Rechte – In den meisten Ländern, in denen wir geschäftlich tätig sind, haben Personen das Recht, ihre eigenen personenbezogenen Informationen einzusehen, sie zu ändern, zu korrigieren oder zu löschen, sofern sie falsch, unvollständig oder überholt sind. Wir respektieren gemäß nachstehendem Abschnitt 3a alle Anfragen bezüglich Zugriff, Korrektur und Löschung personenbezogener Informationen von allen Personen. Falls eine Anfrage auf Zugriff, Korrektur oder Löschung einem geltenden Gesetz unterliegt, das einen größeren Schutz für Personen vorsieht, stellen wir sicher, dass die zusätzlichen gesetzlichen Vorgaben erfüllt werden. In einigen Ländern haben Personen möglicherweise Anspruch auf weitere Rechte in Bezug auf personenbezogene Informationen über sich selbst, wie das Recht, die Verarbeitung einzuschränken, einer Verarbeitung zu widersprechen (siehe auch nachstehenden Abschnitt 2b), und ihre Daten an einen anderen Dienstleister zu übermitteln. Wir respektieren die Ausübung der Datenrechte im Einklang mit den anwendbaren Gesetzen.
    2. Wahlmöglichkeit – In Einklang mit unseren Datenschutzwerten „Respekt“ und „Vertrauen“ respektieren wir individuelle Anfragen auf Widerspruch gegen die Verarbeitung personenbezogener Informationen, insbesondere die Wahlmöglichkeit, die Einwilligung zur vorab zugesagten Teilnahme an Programmen oder Aktivitäten zu widerrufen, der Verarbeitung personenbezogener Informationen für Direktmarketingzwecke zu widersprechen, zielgerichtete Mitteilungen auf Basis personenbezogener Informationen zu stoppen sowie ebenso Widerspruch einzulegen gegen Auswertungen oder Entscheidungen, die automatisiert oder durch Anwendung von Algorithmen erfolgen und für die betroffenen Personen signifikante Auswirkungen haben können.
      1. Sofern nicht gesetzlich untersagt, können wir die Wahlmöglichkeit auch unterbinden, wenn eine spezielle Anfrage unser Unternehmen daran hindern oder beeinträchtigen würde: (1) Gesetze einzuhalten oder ethische Pflichten zu erfüllen, einschließlich Situationen, in denen wir als Reaktion auf gesetzmäßige Anfragen von öffentlichen Behörden personenbezogene Informationen offenlegen müssen, unter anderem zum Zwecke der Befolgung nationaler Sicherheitsanforderungen oder Anforderungen in Verbindung mit der Strafverfolgung, (2) Rechtsansprüche zu untersuchen, geltend zu machen oder abzuwehren und (3) Verträge zu erfüllen, Beziehungen zu pflegen oder anderen geschäftlichen Aktivitäten nachzugehen, die mit den Grundsätzen der Transparenz und der Zweckbeschränkung übereinstimmen und unter Berufung auf die Informationen über die betreffenden Personen eingegangen wurden. Wir dokumentieren eine Entscheidung über die Ablehnung einer Anfrage gemäß dieser Richtlinie und teilen sie dem Antragsteller innerhalb von fünfzehn Werktagen mit.
  3. Wir reagieren unverzüglich und sorgen für die prompte Eskalation aller datenschutzbezogenen Fragen, Beschwerden, Anliegen und aller potenziellen Vorfälle bezüglich Privatsphäre und Datensicherheit.
    1. Jede Person, über die wir personenbezogene Daten innerhalb des Geltungsbereichs dieser Richtlinie verarbeiten, kann sich jederzeit mit Fragen, Beschwerden oder Anliegen an uns wenden, auch mit Anfragen nach einer Liste aller Niederlassungen unseres Unternehmens, für die diese Richtlinie Gültigkeit hat. Wir erwarten, dass unsere Mitarbeiter und andere, für unser Unternehmen tätige Personen, uns unverzüglich in Kenntnis setzen, wenn sie Grund zu der Annahme haben, dass ein geltendes Gesetz sie möglicherweise daran hindert, diese Richtlinie zu befolgen. Fragen, Beschwerden oder Anliegen seitens einer Person oder Hinweise von Mitarbeitern oder anderen, für unser Unternehmen tätige Personen, sind an das MSD Global Privacy Office zu richten:
      1. Per e-mail an: msd_privacy_office@msd.com
      2. Postalisch an: Privacy Office, Merck & Co., Inc., UG4B-24, 351 N. Sumneytown Pike, North Wales, Pennsylvania, USA 19454.
    2. Angestellte sowie freie Mitarbeiter müssen das MSD Global Privacy Office oder den für ihren Bereich ausgewiesenen Datenschutzbeauftragten unverzüglich über alle Fragen, Beschwerden oder Anliegen bezüglich der Datenschutzpraktiken unseres Unternehmens informieren.
    3. Das MSD Global Privacy Office führt Überprüfungen und Untersuchungen durch (bzw. arbeitet hierbei mit der Ethik-Abteilung, der Rechts- und/oder Compliance-Abteilung zusammen), um alle Fragen, Beschwerden oder Anliegen in Bezug auf die Datenschutzpraktiken unseres Unternehmens zu untersuchen, gleich, ob diese direkt von den Mitarbeitern oder von anderen Personen oder Dritten eingegangen sind, darunter insbesondere Zulassungsbehörden, Rechenschaftsstellen und sonstige staatliche Stellen. Wir antworten der Person oder Institution, die die Frage gestellt, die Beschwerde vorgebracht oder die Bedenken geäußert hat, innerhalb von dreißig (30) Kalendertagen, es sei denn, das Gesetz oder der Antragsteller fordert eine raschere Antwort oder die Umstände bedingen einen längeren Zeitraum für die Antwort, wie etwa bei einer gleichzeitigen staatlichen Untersuchung. In diesem Fall wird die Person oder der Dritte schriftlich darüber in Kenntnis gesetzt, sobald das aufgrund der generellen Art der Umstände, die für die Verzögerung verantwortlich sind, möglich ist.
    4. Das MSD Global Privacy Office kooperiert in Absprache mit der Rechts- und der Compliance-Abteilung bei Anfragen, Inspektionen oder Untersuchungen seitens einer datenschutzrechtlichen Aufsichtsbehörde.
    5. Bei Beschwerden, die nicht zwischen unserem Unternehmen und der beschwerdeführenden Person beigelegt werden können, nimmt unser Unternehmen vereinbarungsgemäß an folgenden Streitschlichtungsverfahren zur Untersuchung und Klärung von Beschwerden teil, um Streitigkeiten gemäß dieser Richtlinie beizulegen. Allerdings können sich Personen mit Wohnsitz im EWR oder Personen, deren personenbezogene Informationen dem Datenschutzrecht des EWR unterliegen und die an Länder außerhalb des EWR übermittelt werden, jederzeit auch auf Standard 3.f berufen:
      1. bei Streitigkeiten unter Beteiligung sämtlicher von unserem Unternehmen aus der Schweiz erhaltenen personenbezogenen Informationen arbeiten wir mit dem Schweizer FDPIC (Federal Data Protection and Information Commissioner, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, „EDÖB“) zusammen;
      2. bei Streitigkeiten über in die USA übertragenen personenbezogenen Daten bezüglich Aktivitäten der Personalabteilung und Daten, die im Rahmen eines Arbeitsverhältnisses im EWR erfasst wurden, verpflichtet sich unser Unternehmen außerdem zur Kooperation mit dem zuständigen Datenschutz-Gremium der Europäischen Kommission.
      3. bei Streitigkeiten unter Beteiligung sämtlicher sonstiger personenbezogener Informationen gemäß dieser Richtlinie, darunter insbesondere jene, die die Compliance unseres Unternehmens mit den Bestimmungen für die grenzüberschreitende Datenübermittlung (Cross-Border Privacy Rules, „CBPR“) der Asiatisch-Pazifischen Wirtschaftsgemeinschaft („APEC“), dem Privacy Shield zwischen den USA und der EU sowie der Schweiz und den USA betreffen, haben wir der Streitbeilegung durch TRUSTe, einer in den USA ansässigen Streitbeilegungsstelle, zugestimmt. Personen, die eine Frage stellen oder ein Anliegen vorbringen und die keine Bestätigung ihrer Anfrage seitens unseres Unternehmens erhalten, oder die glauben, dass ihre Frage oder ihr Anliegen nicht zufriedenstellend bearbeitet wurde, können sich per Mail oder Fax an das TRUSTArc-Online-Programm zur Streitbeilegung wenden. Anfragen per Mail oder Fax sollten Merck & Co., Inc., Kenilworth, N.J., USA, oder MSD als Unternehmen ausweisen, an das ein Anliegen oder eine Frage gerichtet wurde, und eine Beschreibung des Datenschutzanliegens und den Namen des Anfragestellers anfügen und angeben, ob TRUSTe die Einzelheiten der Anfrage an unser Unternehmen weiterleiten darf. TRUSTe fungiert als Kontaktstelle mit unserem Unternehmen bei der Beilegung derartiger Streitigkeiten.
        1. Online
        2. Faxnummer: +1-415-520-3420
        3. E-Mail: Watchdog Complaints, TRUSTArc, 835 Market Street, Suite 800, Box 137 San Francisco, CA, USA 94103-1905
      4. Wenn Sie Informationen über TRUSTArc oder den Ablauf des TRUSTArc-Prozesses zur Streitbeilegung wünschen, besuchen Sie TRUSTArc im Internet oder fordern Sie diese Informationen von TRUSTArc per Mail oder Fax an die oben aufgeführten Kontaktdaten an. Der TRUSTArc-Prozess zur Streitbeilegung wird in Englisch durchgeführt.
      5. Lassen sich Streitigkeiten, die unter dem Privacy Shield zwischen der EU und den USA sowie der Schweiz und den USA entstehen, nicht durch in diesem Abschnitt beschriebenen Maßnahmen lösen, hat der Einzelne die Option, sich auf ein bindendes Schiedsverfahren gemäß der Verfahren zum Privacy Shield-Gremium zu berufen, wie unter dem Privacy Shield zwischen den USA und der EU sowie der Schweiz und den USA festgelegt.
    6. Alle Personen mit Wohnsitz im EWR oder Personen, über die personenbezogene Informationen dem Datenschutzrecht des EWR unterliegen und die in Länder außerhalb des EWR übermittelt werden, und deren Informationen gemäß diesen Richtlinie verarbeitet werden, haben nach der Richtlinie das Recht, die Auflagen der Richtlinie als Drittbegünstigte jederzeit einzufordern, einschließlich des Rechts auf Einleitung von Verfahren, mit denen Abhilfemaßnahmen für den Verstoß gegen ihre Rechte nach dieser Richtlinie erwirkt werden sollen (wie im vorstehenden Abschnitt 2 dargelegt). Außerdem haben sie das Recht auf Zuerkennung von Schadensersatzansprüchen, die aus einem derartigen Verstoß resultieren. Personen mit Wohnsitz im EWR oder Personen, deren personenbezogene Informationen dem Datenschutzrecht des EWR unterliegen und die in Länder außerhalb des EWR übermittelt werden (aus Gründen der Klarheit einschließlich der USA) können gemäß dieser Richtlinie Ansprüche gegen Merck, Sharp & Dome (Europa) Inc. – Niederlassung Belgien („MSD Europe“) geltend machen oder eine Beschwerde einlegen:
      1. bei den Gerichten oder bei der Datenschutzbehörde im jeweiligen Land des EWR, aus dem die personenbezogenen Informationen übermittelt wurden,
      2. bei den Gerichten oder bei der Datenschutzbehörde im jeweiligen Land des EWR, in dem sie ihren gewöhnlichen Wohnsitz haben, oder
      3. bei den Gerichten in Belgien oder bei der belgischen Datenschutzkommission.
    7. Unser Unternehmen antwortet der Person oder Institution, die die Frage gestellt, die Beschwerde vorgebracht oder die Bedenken geäußert hat, innerhalb von dreißig (30) Kalendertagen, es sei denn, das Gesetz oder der Dritte fordert eine raschere Antwort oder die Umstände erfordern einen längeren Zeitraum für die Antwort. In diesem Fall wird die Person oder der Dritte schriftlich darüber in Kenntnis gesetzt.
  4. Wir sind für die Einhaltung unserer Datenschutzwerte und -standards verantwortlich.
    1. Die Niederlassung unseres Unternehmens, die für eine Handlung verantwortlich ist, die ihrerseits einen nachgewiesenen Datenschutz- oder Sicherheitsvorfall nach sich zieht, ist finanziell verantwortlich für alle aus diesem Vorfall resultierenden Schadensersatzsummen, Bußgelder und Geldstrafen.
      1. In Absprache mit und auf Anweisung des MSD Global Privacy Office muss MSD Europe sicherstellen, dass die notwendigen Maßnahmen getroffen werden für den Umgang mit sämtlichen mutmaßlichen Verstößen gegen diese Richtlinie durch Niederlassungen unseres Unternehmens außerhalb des EWR, die sich auf Personen mit Wohnsitz im EWR auswirken oder auf Personen, deren personenbezogene Informationen dem Datenschutzrecht des EWR unterliegen und die in ein Land außerhalb des EWR übermittelt wurden, und muss gegebenenfalls sicherstellen, dass Geldstrafen, Bußgelder oder zugesprochene Schadensersatzleistungen bezüglich der Richtlinienverstöße bezahlt werden, die Personen mit Wohnsitz im EWR betreffen oder Personen, deren personenbezogene Informationen dem Datenschutzrecht des EWR unterliegen und die in ein Land außerhalb des EWR übermittelt werden. Mit Unterstützung des MSD Global Privacy Office und der Niederlassung unseres Unternehmens außerhalb des EWR, die für den mutmaßlichen Verstoß verantwortlich ist, muss MSD Europe nachweisen, dass unser Unternehmen nicht für den mutmaßlichen Verstoß haftbar ist. Sofern eine andere Niederlassung unseres Unternehmens für die Handlung verantwortlich ist, die zu der Geldstrafe, dem Bußgeld oder den zugesprochenen Schadensersatzleistungen geführt hat, kann von dieser Niederlassung die unverzügliche Erstattung jedes von MSD Europe bezahlten Betrages gefordert werden. Verletzt eine Tochtergesellschaft unseres Unternehmens außerhalb des EWR diese Richtlinie, sind die Gerichte oder die Datenschutzbehörden im EWR zuständig und die betroffene Person muss die Rechte und Rechtsmittel gegenüber MSD Europe geltend machen, wie im vorstehenden Abschnitt 3.f. dargelegt.
      2. In Absprache mit und auf Anweisung des MSD Global Privacy Office muss Merck Sharp & Dome Corp., Kenilworth, N.J., USA sicherstellen, dass die notwendigen Maßnahmen getroffen werden für den Umgang mit sämtlichen mutmaßlichen Verstößen gegen diese Richtlinie, die sich auf Personen mit Wohnsitz außerhalb des EWR auswirken, und muss gegebenenfalls sicherstellen, dass Geldstrafen, Bußgelder oder zugesprochene Schadensersatzleistungen bezüglich der Richtlinienverstöße bezahlt werden, die Personen mit Wohnsitz außerhalb des EWR betreffen oder Personen, deren personenbezogene Daten nicht dem Datenschutzrecht des EWR unterliegen. Sofern eine andere Niederlassung unseres Unternehmens für die Handlung verantwortlich ist, die zu der Geldstrafe, dem Bußgeld oder den zugesprochenen Schadensersatzleistungen geführt hat, kann von dieser Niederlassung die unverzügliche Erstattung jedes von Merck Sharp & Dome Corp., Kenilworth, N.J., USA bezahlten Betrages gefordert werden.

Aufsicht und Kontrollen

Zur Sicherheit für zuständige Behörden und andere Stakeholder, denen unser Unternehmen Rechenschaft ablegen muss über seine Verpflichtung zu ethischen und verantwortungsvollen Datenschutzpraktiken, unterhält das Unternehmen eine für Aufsicht und Kontrollen zuständige, umfassende Governance-Gruppe, die unter Leitung eines Chief Privacy Officer steht und ein eigenes Global Privacy Office (GPO), ein EU-Datenschutzbeauftragter (EU DPO), sowie wo durch die Gesetzgebung oder örtliche Behörden vorgeschrieben, landesspezifische Datenschutzbeauftragte (DPO’s) und spezielle Datenschutz-Stewards beinhaltet, die von leitenden Führungskräften ernannt werden und als Kontaktstelle zwischen dem MSD Global Privacy Office und den Organisationsbereichen dienen, in denen sie tätig sind.

Unser Unternehmen stützt sich darauf, dass die für den Datenschutz verantwortlichen Rechenschaftsinstanzen, denen gegenüber es nach geltendem Recht regelmäßig rechenschaftspflichtig ist, die Einhaltung der in dieser Richtlinie formulierten Anforderungen und den geltenden Gesetzen, einschließlich APEC CBPR, überprüfen.

Neben der durch das MSD Global Privacy Office verwalteten Überprüfungen der Qualitätssicherung führen interne und externe Teams zur Prüfung und Qualitätssicherung die Compliance-Bewertungen durch, um sicherzustellen, dass MSD diese Richtlinie einhält, einschließlich jedweder dieser Richtlinie untergeordneten Strategien, Verfahren, Normen und Anleitungen. Korrektive und präventive Aktionspläne werden entwickelt und umgesetzt, um Diskrepanzen, die von den Teams zur Prüfung und Qualitätssicherung bemerkt wurden, zu behandeln. Die Ergebnisse des Prüfungsprogramms werden dem Chief Privacy Officer und dem Datenschutzausschuss mitgeteilt, die für deren Berichterstattung zuständig sind, wie in dieser Richtlinie beschrieben.

Die für die Wahrung der Privatsphäre und den Datenschutz verantwortlichen Behörden, die diese Richtlinie genehmigt haben oder rechtlich für unsere Unternehmenspraktiken nach dieser Richtlinie zuständig sind, haben das Recht, deren Einhaltung unsererseits zu überprüfen. Wir befolgen die Hinweise der zuständigen Behörden in Bezug auf die Auslegung und Anwendung der Richtlinie.

Begriffe, die Sie kennen müssen

  • Anonymisiert. Die Abänderung, Kürzung, Verschleierung oder sonstige Änderung personenbezogener Informationen, damit diese unabänderlich nicht dazu verwendet werden können, Personen zu identifizieren, zu lokalisieren oder zu kontaktieren, sei es isoliert oder in Verbindung mit anderen Informationen.
  • Datenschutzvorfall. Ein Verstoß gegen bzw. Bruch dieser Richtlinie oder eines Gesetzes zur Wahrung der Privatsphäre oder zum Datenschutz, der auch einen Sicherheitsvorfall beinhaltet. Ob es sich um einen Datenschutzvorfall handelt und ob dieser schwerwiegend ist oder nicht, sollte von dem MSD Global Privacy Office, dem Sicherheits- und Risikomanagement für Informationstechnik (Information Technology Risk Management and Security, ITRMS) und der Rechtsabteilung bzw. dem Justiziar entschieden werden.
  • Dritter. Eine juristische Person, Vereinigung oder Person, die nicht zu unserem Unternehmen gehört oder ihm untersteht oder an der unser Unternehmen keine Mehrheitsbeteiligung hält bzw. die nicht bei unserem Unternehmen angestellt ist. Sofern nicht ausdrücklich in dieser Richtlinie festgelegt, ist keine Niederlassung und kein Geschäftsbereich unseres Unternehmens dazu verpflichtet, die Vorgaben eines Dritten zu erfüllen, da für sämtliche Niederlassungen und Geschäftsbereiche bezüglich personenbezogener Informationen diese Richtlinie maßgeblich ist. Dies beinhaltet auch Fälle, in denen eine Niederlassung unseres Unternehmens eine oder mehrere Niederlassungen bei der Verarbeitung von Daten unterstützt.
  • Gesetz/Recht. Alle geltenden Gesetze, Regeln, Bestimmungen und Verordnungen mit Rechtskraft in sämtlichen Ländern, in denen unser Unternehmen geschäftlich tätig ist oder in denen personenbezogene Informationen von unserem Unternehmen oder im Namen unseres Unternehmens verarbeitet werden. Dazu gehören alle Datenschutzrahmenbestimmungen, nach denen unser Unternehmen zugelassen oder zertifiziert ist, einschließlich die Bestimmungen für die grenzüberschreitende Datenübermittlung (Cross-Border Privacy Rules, „CBPR“) der Asiatisch-Pazifischen Wirtschaftsgemeinschaft (Asia Pacific Economic Cooperation, „APEC“), das Privacy Shield zwischen den USA und der EU sowie der Schweiz und den USA unter der Untersuchungs- und Vollstreckungsbefugnis der US-Bundeshandelsabkommission.
  • Sensible Informationen. Alle Arten personenbezogener Informationen, mit denen das Risiko eines potenziellen Schadens für Personen verbunden ist, darunter Informationen, die per Gesetz als sensibel definiert sind. Dazu gehören insbesondere Informationen über Gesundheit, genetische und biometrische Daten, Rasse, ethnischen Ursprung, Religion, politische oder ideologische Anschauungen oder Überzeugungen, Vorstrafenregister, präzise Informationen zum geographischen Standort, Bankdaten oder sonstige Kontonummern, von staatlichen Stellen ausgegebene Identifikationsnummern, minderjährige Kinder, Sexualleben, sexuelle Orientierung, Gewerkschaftszugehörigkeit, Versicherungen, Sozialversicherung und sonstige vom Arbeitgeber oder staatlichen Stellen zugewiesene Leistungen.
  • Privacy Incident. A violation or breach of this Policy or a privacy or data protection Law, and includes a Security Incident. Determinations of whether a privacy incident has occurred and whether it is material shall be made by the Global Privacy Office, Information Technology Risk Management and Security (ITRMS), and the Office of General Counsel.
  • Sicherheitsvorfall. Ein Verstoß gegen die Sicherheitsbestimmungen, der zu unabsichtlicher oder widerrechtlicher Zerstörung, Einbuße, Änderung, unbefugter Offenlegung von personenbezogenen Informationen bzw. Zugriff auf diese führt bzw. ein begründeter Verdacht dessen seitens unseres Unternehmens. Zugriffe auf personenbezogene Informationen durch unser Unternehmen oder im Namen unseres Unternehmens stellen keinen Sicherheitsvorfall dar, wenn nicht die Absicht besteht, gegen diese Richtlinie zu verstoßen und wenn die erfassten Daten nur nach Maßgabe dieser Richtlinie verwendet und weitergegeben werden.
  • Unser Unternehmen. Merck & Co., Inc., (Kenilworth, NJ, USA), seine Nachfolger, Niederlassungen und Geschäftsbereiche in aller Welt mit Ausnahme von Joint Ventures, an denen unser Unternehmen beteiligt ist.
  • Verarbeitung. Durchführung einer Maßnahme oder einer Reihe von Maßnahmen bei personenbezogenen Informationen, die auch automatisch erfolgen kann, einschließlich, aber nicht darauf beschränkt, Erfassung, Speicherung, Ordnung, Aufbewahrung, Zugriff, Anpassung, Abänderung, Abruf, Beratung, Nutzung, Auswertung, Analyse, Melden, Weiterleitung, Offenlegung, Verbreitung, Übertragung, Bereitstellung, Angleichung, Kombination, Blockierung, Löschung, Tilgung oder Vernichtung.

Änderungen dieser Richtlinie

Diese Richtlinie kann in bestimmten Zeitabständen gemäß den Anforderungen geltender Gesetze geändert werden. Ein Hinweis wird auf der Datenschutzwebseite unseres Unternehmens (https://msdprivacy.com) für die Dauer von 60 Tagen eingestellt, wann immer diese Richtlinie erheblich geändert wird.

Gültig ab

30. April 2018

TRUSTeTRUSTeThis Web Accessibility icon serves as a link to download eSSENTIAL Accessibility assistive technology software for individuals with physical disabilities. It is being featured as part of a Disability Community Involvement initiative that reflects our commitment to Diversity, Inclusion,Corporate Citizenship and Social Responsibility.
Twitter IconLinkedin Icon

Copyright © 2009-2018 Merck Sharp & Dohme Corp., eine Tochterfirma von Merck & Co., Inc. Kenilworth, NJ, USA. Alle Rechte vorbehalten. Verantwortlich für diese Webseite ist Merck Sharp & Dohme Corp., eine Tochterfirma von Merck & Co., Inc., Kenilworth, NJ, USA.